このページは Directory Sync を対象としています。Google Cloud Directory Sync (GCDS)を使用している場合は、GCDS をご覧ください。現時点で Directory Sync は公開ベータ版です。
ここでは、Directory Sync による同期の設定と実行に関するよくある質問をご紹介します。
全般 | Active Directory | Azure Active Directory
全般
Google Cloud Directory Sync から Directory Sync に移行すべきでしょうか?ユーザーまたはグループのみを同期する場合は、Directory Sync が要件を満たすことがあります。
ユーザーおよびグループに加えてオブジェクト(Google Workspace ライセンスや共有連絡先など)を同期する場合は、ユーザーおよびグループの同期には Directory Sync を使用し、その他のオブジェクトには GCDS を使用することをご検討ください。ただし、ユーザーとグループの両方を同期する場合は、両方に同じ同期ツールを使用する必要があります。
詳しくは、Directory Sync と GCDS の比較をご確認ください。
はい。ユーザーとグループの同期には Directory Sync を使用し、その他のオブジェクト(共有の連絡先など)の同期には GCDS を使用ます。ユーザーとグループの同期には、同じツールを使用することをおすすめします。
はい、外部ディレクトリ グループの名前を変更できます。Directory Sync の [ユーザー スコープ] セクションで [Google Directory でユーザーを停止する] チェックボックスをオンにしてグループを追加した後に同期を実行した場合は、追加の手順が必要になります。この場合は、以下の手順に沿ってグループ名を変更します。
注: 上記のシナリオがセットアップに該当しない場合は、以下の手順を行わずに外部ディレクトリ グループの名前を変更できます。
- 同期を無効にします。
詳しくは、同期を有効または無効にするをご覧ください。
- [ディレクトリの詳細] ページで、[ユーザー同期] の横にある編集アイコン
をクリックします。
- 新しいグループの名前を入力し、同期設定を保存します。
- 外部ディレクトリで、グループの名前を変更します。
- Directory Sync の [ユーザー スコープ] で、古いグループ名を削除して同期設定を保存します。
ユーザー スコープで定義されたグループが外部ディレクトリで削除された場合、デプロビジョニングの設定に応じて、同期後に Google Cloud ディレクトリのユーザーがアクティブまたは停止中のままになります。同期スコープからグループを削除するまで、この処理が継続されます。
外部ディレクトリでグループを削除して同じ名前を追加し直した場合、Directory Sync によってグループは新しいグループとして同期されます(新しいグループ ID があるため)。
詳しくは、外部ディレクトリにないユーザーを停止するをご確認ください。
いいえ。Directory Sync では外部ディレクトリのユーザー パスワードを同期できません。
はい。Directory Sync を使用してユーザーをセカンダリ ドメインと同期できます。
外部ディレクトリにあるユーザーのメールアドレスがセカンダリ ドメイン名と一致していることを確認します。既存のメール属性を変更しない場合は、ユーザー同期を設定するときに別の属性を使用して属性を割り当てます。同期中、Directory Sync はセカンダリ ドメインをメインのメールアドレスとして使用して、Google Cloud ディレクトリにユーザーを作成します。
詳しくは、同期されたユーザーのドメイン名を置き換えるをご覧ください。
Active Directory
別のプロジェクトで VPC アクセス コネクタを作成できますか?ネットワーク構成を簡素化するため、Cloud VPN または Cloud Interconnect と同じプロジェクトに Virtual Private Cloud(VPC)アクセス コネクタを作成することをおすすめします。別のプロジェクトで VPC アクセス コネクタを作成する場合は、共有 VPC を使用します。詳細については、共有 VPC の概要をご覧ください。
LDAP サーバーは、ユーザーやグループなどのディレクトリ オブジェクトを検索する際の開始ポイントとしてベース DN を使用します。ベース DN の範囲が狭いほど、検索時のパフォーマンスが向上します。
例
| Base DN 検索のタイプ | 例 | 注 |
|---|---|---|
| トップレベルのベース DN を指定する | dc=example, dc=com | ディレクトリ内のすべてのオブジェクトを検索します。検索パフォーマンスが低下する可能性があります。 |
| 組織部門を指定する | ou=sales, dc=example, dc=com |
組織部門内のすべてのオブジェクトを検索します。 |
|
ユーザーの検索を指定する |
cn=Users, dc=example, dc=com |
ディレクトリ内のすべてのユーザーを検索します。 |
objectClass 属性と objectQuery 属性を使用して、クエリをさらに絞り込むことをおすすめします。詳しくは、objectCategory と objectClass でフィルタするをご覧ください。
関連トピック
はい。最大 50 個の AD 接続を作成できます。AD ドメインは接続ごとに一意である必要があります。
検索のパフォーマンスを上げるには:
- ベース DN - ベース DN を可能な限り具体的に設定します。たとえば、ユーザーまたはグループが組織部門の階層に属する場合、ルート組織部門ではなく、親階層を指す検索語句を使用します。それにより、LDAP 検索はディレクトリ全体ではなく、特定の組織部門階層で行われます。
- スコープ - LDAP クエリに含まれている階層レベルを考慮します。
この例では、組織部門の階層が地域(第 1 レベル)と国(第 2 レベル)に分かれています。ユーザーとグループが APAC の組織部門に属する場合は、クエリが APAC ユニットのみを検索し、その第 2 レベルのユニットは検索しないようにするため、LDAP クエリのスコープを [1 レベル] に設定します。検索に第 2 レベルの組織部門を含める場合は、範囲を [サブツリー] に設定します。
関連トピック
Azure Active Directory
同期できる Azure Active Directory 接続の数に制限はありますか?はい、追加できる Microsoft Azure Active Directory 接続は 1 つだけです。
- ユーザー スコープ - 2,000 グループ(すべてのグループで合計 100,000 文字まで)
- グループ スコープ - 400 グループ(すべてのグループで合計 17,000 文字まで)
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
